学术期刊网站用户隐私信息的保护
2019-10-30杨郁霞
杨郁霞
[福建农林大学学报(自然科学版)编辑部,福建 福州 350002]
随着科技的进步和网络化的发展,我国越来越多的学术期刊通过构建网站实现了在线办公,这不仅提高了期刊出版部门的工作效率、进一步优化了对稿件的系统管理,而且方便了作者对所投稿件的实时跟踪和审稿专家对稿件的查询和审阅。据报道,2015年中国科协1081种科技期刊中有915种通过自建网站形式上网,占中国科协科技期刊总数的84.6%[1]。近几年,学术期刊建网比例还在逐年攀升。
期刊在适应网络化发展的同时,用户信息安全问题也日益凸显。学术期刊网站的对外用户主要是作者和审稿专家,其在投稿或审稿前均需对个人信息进行注册和完善。因此,作者和审稿专家信息作为一种重要的网络资源普遍存在于多个期刊平台上。这些信息资源中,有些是用户自愿提供且可以公开的,如学位、职称、研究方向等;有些则是应期刊出版部门要求而提供且不适宜公开的,如手机号码、身份证号码等,这些都是需要期刊出版部门重视和保护的重要信息。然而,实际工作中,办刊人员更侧重于对用户信息的采集和使用,而忽略了对这些信息的保护;理论研究层面,学者们对期刊用户信息保护方面的探讨较少,主要集中于作者信息的公开与保护方面的权衡[2-5],而没有针对期刊网站用户(作者和审稿专家)隐私信息保护的系统论述。鉴于此,本文以我国农业科学核心期刊为例,调查其网站对用户隐私信息的采集情况,并在此基础上分析用户信息泄露的潜在风险,进而从期刊工作者的视角提出相应的保护措施,以期为增强期刊出版部门的信息安全意识和实施有效的信息保护措施提供参考。
一、学术期刊网站采集用户隐私信息的状况
(一)用户隐私信息的界定
陈丽华等[2]认为,学术期刊采集的作者个人信息所需保护的人格领域范围为个人及隐私。个人领域范围主要包括姓名、单位等公开不会影响作者工作和生活的信息;隐私领域则主要指限制他人接近自己的范围,包括照片、手机号码、社交账号、身份证号等会对作者工作和生活产生影响的信息。余筱瑶[3]认为,作者个人信息分为敏感隐私信息(包括身份证号码、个人视频、照片等)、可以公开信息、完全公开信息(包括姓名、职业、研究领域及Email)3个等级,其中,可以公开信息又分为对特定人可以公开信息(包括银行账号、第三方支付账号、电话号码等)和对非特定人可以公开信息(包括性别、职称、年龄等)。综合两位学者的看法并结合工作实际,笔者认为,期刊网站采集的用户隐私信息即仅供期刊出版部门作特定用途的不可对外界公开的个人信息,如身份证号码、手机号码、银行卡信息等。
(二)以综合性农业科学核心期刊网站为例调查用户隐私信息的采集情况
以《中文核心期刊要目总览(2017年版)》中32种综合性农业科学核心期刊为调查样本。在前期初步调查的基础上选取手机号码、固定电话、证件号码(包括身份证、护照等)、银行账号和开户行名称等5项隐私信息为调查项目。调查方法:先通过百度搜索引擎查询32种期刊的建网情况,再进入各期刊网站的作者和审稿专家注册页面获取不同期刊对5项隐私信息的采集情况,分别统计采集各条隐私信息的期刊数量,并计算其所占比例。
调查发现,30种期刊有自建网站设有在线投审稿平台,其余2种没有网站,仍采用Email投稿。30种期刊自建网站均可进行作者注册,但其中6种期刊无法进行审稿专家自荐注册,只能由出版单位内部推荐设置。因此,在计算采集作者隐私信息的期刊比例时,总数以30种计;在计算采集审稿专家隐私信息的期刊比例时,总数以24种计。由表1可知,100%的期刊都会采集作者和审稿专家的手机号码,采集作者和审稿专家固定电话的期刊分别占80.0%和95.8%;采集作者和审稿专家证件号码的期刊均超过50%;采集作者银行信息的期刊较少,而采集审稿专家银行信息的期刊占54.2%。可见,多数期刊都会采集用户的隐私信息,尤其是审稿专家的信息。
表1 综合性农业科学核心期刊网站采集用户隐私信息的调查结果
(三)期刊采集用户隐私信息的用途
作者发表论文和审稿专家审阅稿件后,期刊出版部门需要向其支付相应的稿酬和审稿费。传统的支付方式是通过邮局汇款,但其存在诸多不便:相关负责人需要花费大量的时间手工填写汇款单和办理寄单事宜,且邮寄至对方邮局的时间较长,寄到后对方也需要花费一定时间办理取款事宜,甚至其中还存在因种种原因(如书写错误、到时间未取单等)被退单的可能性。随着网络化的发展和财务办公系统的改进,目前期刊出版部门对稿酬和审稿费的发放方式转变为以直接通过财务部门进行银行转账为主,其相对于传统的支付方式具有便捷、耗时短、效率高等优点。因此,为确保转账的准确性,财务部门要求作者和审稿专家提供证件号码、手机号码及银行账号和开户行名称等隐私信息。期刊网站采集和存储这些信息,不仅方便后期相关费用的统一直接发放,而且有利于加强对信息资源的有效管理。
二、用户隐私信息泄露的潜在风险
(一)泄露途径
期刊网站用户隐私信息的泄露途径包括人为和非人为两个因素。人为泄露又可分为有意和无意两种,其涉及的行为主体主要为期刊出版单位内部与信息有直接接触的编辑人员和编务人员以及负责网站维护的科技公司。有意泄露是这些行为主体有计划泄露信息的行为,如倒卖信息;无意泄露是因这些行为主体未尽保护义务或保护措施不力而使信息被泄露的行为,如信息网页未及时关闭造成的泄露。非人为泄露是保存信息的硬件或软件设备被外界攻击而造成的不可控的信息外泄,外界因素如电脑病毒以及蓄意截取信息的黑客或组织等[6]。随着网络时代的快速发展,个人信息安全正面临较大的风险,在国家技术监管和法律维护等措施还不够完善的环境下,各种非法机构对个人信息轰炸的手段层出不穷、各式各样,使网络用户防不胜防[7]。据报道,全球平均每20秒钟就发生一次入侵互联网涉及信息安全的事件[8]。期刊网站用户隐私信息具有较高的商业价值,使得其面临更高的安全风险。
(二)泄露后果
生活中多数人都会经历因信息泄露而造成的困扰,如垃圾信息、推销电话的频繁骚扰。对于期刊网站用户而言,手机号码或固定电话一旦被泄露,就会收到各种征稿通知、代理发表文章的中介广告、无关的会议通知等垃圾短信或电话;证件号码或银行卡信息泄露后果则可能更为严重,如被冒名办信用卡后恶意透支消费、被冒名挂失银行卡再重新办卡盗取钱财、被冒用身份从事一些不法行为等,严重毁坏用户个人名誉或造成个人财产的损失。同时,若用户信息因办刊人员的失职而被泄露还会损害出版部门的信誉,并影响期刊的受众群体。可见,用户隐私信息泄露不仅会影响用户个人生活,影响出版机构的声誉,甚至会危害个人的财产安全,进而破坏商业市场秩序,危害公共安全,影响社会稳定[3]。因此,保证期刊网站用户隐私信息的安全是期刊出版部门应重视的一项重要工作。
三、期刊网站用户隐私信息的保护措施
《中华人民共和国民法总则》规定:“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全。”《中华人民共和国刑法修正案(九)》第二百八十六条明文规定网络服务提供者有安全管理公民个人信息的义务。期刊网站是服务广大作者和读者的平台,期刊出版部门作为期刊网站版权的所有者,对用户隐私信息负有不可推卸的保护义务[4]。因此,建议从以下几个方面着手加强对期刊网站用户隐私信息的保护。
(一)内部建立信息保护管理体制
期刊出版部门应针对用户隐私信息的安全制定专门的规章制度,既能增强办刊人员的信息安全意识,又能让编辑部采集和使用用户信息的行为有据可依。规章制度的内容应主要明确信息采集内容、方法、用途,以及规范信息使用流程。
关于信息的采集,一方面,建议将用户的注册信息分两级设置。一级为作者和审稿专家首次注册时的信息,以个人领域[2]的简单信息为主;二级即为作者稿件被录用或审稿专家审完稿件后需完善的隐私信息,若作者稿件被拒或审稿专家未审稿件,则不必进行二级操作,这不仅可以减小用户隐私信息的传播范围,还能够防止期刊对用户信息的过度采集。另一方面,在采集信息时建议遵循告知原则和以用户为中心的原则。告知原则是在采集信息时明确告知用户采集信息的内容、用途和保密承诺等相关事宜;以用户为中心的原则即在告知的情况下尊重用户的意愿。据了解,学术期刊每篇论文的审稿费50~200元不等,部分审稿专家不愿为了小额费用而向出版单位公开自己的隐私信息,也属情理之中。因此,办刊人员应根据不同情况实行灵活的支付措施。若用户同意提供隐私信息,期刊出版部门须做好后续的信息保护工作;若用户确实不同意提供,期刊出版部门则应选择传统的支付方式。
关于信息的使用,一是严格遵循保密原则。期刊出版部门应与内部信息接触人(编辑人员或编务人员)签订保密协议,并制定信息泄露问责和追责条款。二是建立审批和存档的制度,即稿酬或审稿费发放的用户信息名单应由期刊负责人签字审批,且签字后的单据应复印保存备查。
此外,期刊出版部门制定的规章制度可在期刊网站上广而告之,以切实落实该项制度的执行,并取得用户的信任。
(二)与科技公司建立规范严谨的合作机制
目前,大多数期刊网站的维护和服务器的托管都是由科技公司负责,这为用户隐私信息通过第三方泄露提供了可能。因此,期刊出版部门有必要与科技公司建立规范严谨的合作机制,以确保信息的安全。合作过程中需要特别注意技术提供和信息保密两个方面。
几乎全部期刊网站中,用户信息均可被所有编辑人员和编务人员查看,传播范围较大。因此,在信息的查看方面,建议在前文所述分级的基础上分权限设置,一级信息可被所有办刊人员查看,二级隐私信息则设置为特定人才可查看,特定人为负责办理费用支付的编务人员或部门负责人。通常一个期刊出版部门会有一位编务人员,该权限的设置无疑可以大大缩小用户隐私信息的公开和传播范围。然而,目前我国学术期刊网站还没有针对用户信息分级分权限查看的功能,期刊出版部门可与科技公司共同协商该方面的解决方案。同时,通过先进的网络技术和信息系统保护体系可以避免信息系统瘫痪和重要信息大量泄流等损失[7];重要信息加密技术也可防范非法用户或病毒攻击计算机系统而盗用信息。科技公司是期刊网站建设和维护的技术提供方,其在保证网站基本运营功能的同时应在信息安全方面寻求进一步的技术突破。
此外,信息保密是期刊出版部门与科技公司合作中需重视的另一个重要问题。在签订合作协议时,需特别注明科技公司方对期刊网站用户信息进行保护的义务和责任以及信息因其泄露的追责条款。
(三)引导用户增强信息安全意识
信息从用户端泄露的最大可能原因就是密码被黑客破解或系统被病毒攻击。一旦登录信息被盗取,不仅用户隐私信息会被泄露,网站的稿件资源也会受到影响。因此,用户的安全意识对期刊网站信息的保护也非常重要。然而,笔者在实际工作中发现,部分审稿专家的安全意识并不高。因许多期刊的审稿专家资源都是从数据库获取,审稿专家的初始账号和密码都是由编辑部设置,且初始密码通常比较简单,审稿专家后续补充完整个人信息后未修改初始密码的现象普遍存在。简单的密码设置为信息泄露提供了更大的可能性。因此,期刊出版部门应引导用户提升信息安全意识,以防止信息从用户端泄露。一方面,期刊网站在用户注册密码时或补充完整个人信息后应给予适当的提示语,提示其设置较复杂的密码以确保其安全。另一方面,可在期刊网站首页醒目位置或用户注册页面告知信息安全的重要性,并提供一定的信息保护建议,如电脑软硬件的维护、杀毒软件的安装和病毒的定时排查、防火墙体系的完善等。
(四)期刊出版行业协会设立监管措施
当前,期刊出版行业协会的注意力主要放在期刊的质量方面,对期刊网络化建设的关注较少,对网络化的信息安全问题更是从未涉及。中国高校科技期刊研究会是极少的关注期刊网络化建设的一家协会,其每两年评选一次中国高校科技期刊优秀网站,但评选指标的设置主要为基本功能(投审稿平台、过刊检索、发布公告等)、扩展功能(文献服务和用户交互)和多媒体的应用(二维码、APP、视频等)方面,而没有针对网站信息安全的评价指标。网络化时代,信息安全的重要性应引起期刊出版行业协会的重视,在注重期刊质量建设的同时,兼顾对网络化信息安全保障的考查。因此,协会在开展期刊网站或数字化建设评选时,建议设置对用户信息安全保障的评选指标,如加密技术、注册提醒等。另外,目前出版行业制定的规范标准主要集中在编校方面,关于期刊网络化信息安全的保护标准仍为空白。随着网络化和电子化的不断发展,信息安全问题越来越引起人们的关注,期刊网络化信息安全的保护标准应成为出版行业今后探索的一个方向。该标准可从信息的采集、存储、使用、保护等方面逐一进行规范。
四、结语
信息外泄对社会和人们的生活造成了严重影响,随着新的网络技术和信息系统的普遍运用,未来网络信息安全将面临更多的挑战[9],网络用户信息的保护将受到大众更多的关注。然而,大数据时代信息保护的重心不再是在搜集信息时取得个人的同意上,而是应着重于信息使用者的行为责任上,由信息搜集者承担绝对的保护责任[3]。因此,期刊作为作者和审稿专家等用户隐私信息的采集者,应对网站信息安全起到该有的保护责任和义务。高度的风险意识和安全管理理念是信息安全的根本保障[10]。期刊出版部门应在增强风险意识的基础上,从内部、第三方科技公司和用户三个方面协同推进对用户隐私信息的保护措施;同时,期刊出版行业协会也应在该方面起到一定的监管作用。总之,只有通过建立起有效的预防机制、完善期刊网络信息安全管理制度,才能提高办刊人员的安全防范意识,降低潜在的安全隐患[8]。